• Hallo liebe Userinnen und User,

    nach bereits längeren Planungen und Vorbereitungen sind wir nun von vBulletin auf Xenforo umgestiegen. Die Umstellung musste leider aufgrund der Serverprobleme der letzten Tage notgedrungen vorverlegt werden. Das neue Forum ist soweit voll funktionsfähig, allerdings sind noch nicht alle der gewohnten Funktionen vorhanden. Nach Möglichkeit werden wir sie in den nächsten Wochen nachrüsten. Dafür sollte es nun einige der Probleme lösen, die wir in den letzten Tagen, Wochen und Monaten hatten. Auch der Server ist nun potenter als bei unserem alten Hoster, wodurch wir nun langfristig den Tank mit Bytes vollgetankt haben.

    Anfangs mag die neue Boardsoftware etwas ungewohnt sein, aber man findet sich recht schnell ein. Wir wissen, dass ihr alle Gewohnheitstiere seid, aber gebt dem neuen Board eine Chance.
    Sollte etwas der neuen oder auch gewohnten Funktionen unklar sein, könnt ihr den "Wo issn da der Button zu"-Thread im Feedback nutzen. Bugs meldet ihr bitte im Bugtracker, es wird sicher welche geben die uns noch nicht aufgefallen sind. Ich werde das dann versuchen, halbwegs im Startbeitrag übersichtlich zu halten, was an Arbeit noch aussteht.

    Neu ist, dass die Boardsoftware deutlich besser für Mobiltelefone und diverse Endgeräte geeignet ist und nun auch im mobilen Style alle Funktionen verfügbar sind. Am Desktop findet ihr oben rechts sowohl den Umschalter zwischen hellem und dunklem Style. Am Handy ist der Hell-/Dunkelschalter am Ende der Seite. Damit sollte zukünftig jeder sein Board so konfigurieren können, wie es ihm am liebsten ist.


    Die restlichen Funktionen sollten eigentlich soweit wie gewohnt funktionieren. Einfach mal ein wenig damit spielen oder bei Unklarheiten im Thread nachfragen. Viel Spaß im ngb 2.0.

[Tarnkappe] Sicherheitslücke: Supergau bei Prozessorherstellern

meltdown_spectre.png


Sicherheitsforscher haben kürzlich mehrere schwere Designfehler in zahlreichen Computer-Prozessoren (CPUs) entdeckt, die ein Auslesen von geschützten Inhalten durch normale Programme sogar aus der Ferne ermöglichen. Dadurch ist es theoretisch möglich, dass eine Webseite mittels Javascript auf Passwörter und andere sensible Inhalte des Computers eines Besuchers zugreifen kann, die sich gerade in seinem Arbeitsspeicher befinden.

Besonders schlimm hat es Intel getroffen, da hier gleich zwei verschiedene Hardware-Bugs entdeckt wurden. Der Intel-spezifische Fehler wird als Meltdown (“Kernschmelze”) bezeichnet und befindet sich in Prozessoren der letzten 20 Jahre bis zurück zum Pentium Pro. Der andere Fehler, der teilweise auch AMD und die Hersteller von ARM-CPUs betrifft, wird Spectre (“Gespenst”) genannt. Insbesondere Spectre wird sich nicht vollständig durch Software beheben lassen. Die beiden Namen wurden übrigens wegen der Dramatik der Fehler aus James-Bond-Filmen entnommen.

[h=3]Betriebssystem-Hersteller arbeiten fieberhaft an einer Lösung[/h]

Seit Tagen arbeiten Microsoft und zahlreiche Linux-Entwickler mit Hochdruck an ihren Produkten, um Notfall-Patches zu entwickeln und die Fehler durch neue Software des innersten Bereichs des Betriebssystems – den Kernel – zu beheben. Apple hält sich mit Aussagen etwas bedeckt, doch auch deren CPUs, unter anderem von ARM und Intel, enthalten den Fehler.
Die neue Kernel-Software bringt je nach Prozessor auch erhebliche Geschwindigkeitseinbußen von bis zu 30% mit sich, was insbesondere für Netzwerk- und Datei-intensive Programme gilt, bei denen häufig Funktionen des Betriebssystems aufgerufen werden. Diese sogenannten Kontext-Wechsel zwischen Benutzer-Programmen und Kernel können durch die geflickte Software sehr verlangsamt werden – sehr zum Ärger der Benutzer.

[h=3]Fehlerhafte Hardware ist verantwortlich[/h]

Normalerweise werden Fehler in Computern durch neue Software behoben, doch in diesem Fall ist die Hardware schuld, was eine Reparatur mit Software-Updates sehr erschwert. Daher wäre es wesentlich sinnvoller, den Fehler direkt zu beseitigen, statt an der Software herumzudoktern. Doch leider gibt es noch keine fehlerfreie Hardware, weil die erst entwickelt werden muss. Bis dahin wird man mit geflickten Betriebssystemen vorlieb nehmen müssen, sofern diese überhaupt zur Verfügung gestellt werden. Insbesondere für ältere Geräte mit fester Firmware wird das zum Problem. Betroffen ist der komplette Sektor von Smartphones und Routern, über Unterhaltungselektronik, Industrie-Maschinen und alles was als Internet-of-Things (IoT) bezeichnet wird oder irgendwie am Internet hängt und mit defekten CPUs arbeitet.

[h=3]Intel-Führung hat bereits ihre Firmenaktien verkauft[/h]

Wohl in weiser Voraussicht des kommenden Schadens hat die Führung von Intel bereits Ende letzten Jahres die Aktienanteile an der Firma zu Geld gemacht, um einem drohenden Kursverlust zu entgehen. Der Chef bestreitet natürlich die Vorwürfe. Das ist die hässliche Seite des Problems. Andere Firmen werden möglicherweise auch bald folgen…
Zwischen dem 5. und 10. Januar beabsichtigen Amazon und Microsoft schrittweise ihre großen Cloudserver herunterzufahren, um Notfall-Patches zu installieren, da auch deren riesige Computerfarmen betroffen sind.


https://tarnkappe.info/sicherheitsluecke-supergau-bei-prozessorherstellern/Quelle
Autor: Kati Mueller
Quelle
 
Zum Vergrößern anklicken....

TBow

The REAL Cheshire Cat

TBow
Registriert
15 Juli 2013
Beiträge
4.252
Eine gute Nachricht gibt es jedoch.

Weißes Haus: NSA wusste nichts von Computerchip-Schwachstelle

"Die NSA wusste nicht von der Schwachstelle, hat sie nicht ausgenutzt und freilich würde die US-Regierung nie ein großes Unternehmen wie Intel einem Risiko aussetzen, um eine Angriffsfläche offenzuhalten", sagte der Cybersicherheitskoordinator im Weißen Haus, Rob Joyce, der Washington Post.

https://www.heise.de/security/meldu...s-von-Computerchip-Schwachstelle-3935329.html
Zum Vergrößern anklicken....
Ja, das ist wahr und gar nicht gelogen. :D
Das würden sie sogar vor einem US Kongressausschuss, so wie einst der Lügenbaron Clapper, schwören.
 

Jan_de_Marten

Aktiver NGBler

J
Registriert
14 Juli 2013
Beiträge
1.106
theSplit schrieb:
Für Smartphones finde ich das aber noch ne Nummer heftiger, da man hier wohl niemals mehr ein Update sehen wird, wenn das auch nur "etwas" älter" ist. Da könnte man sich wirklich überlegen ein Gerät zu rooten, so lange eine neue Version mit einem Fix irgendwie verfügbar ist...
Zum Vergrößern anklicken....
MS hat wohl schon etwas ab dem 5.1. für Ihre Handys getan ....... zumindest die unter Windows10mobile welche ja schon 2015 erschienen sind. ich denke mal Apple, Nokia und Google vverden da relativ schnell nachziehen.
 

LadyRavenous

in Schwarz
Teammitglied

LadyRavenous
Registriert
26 Dez. 2016
Beiträge
16.106
Ort
hello world
AMD rudert zurück und meint, dass Spectre 2 u.U. doch ausgenutzt werden kann und bei Intel kann es bei Haswell- und Broadwell-Prozessoren zu spontanen Neustarts kommen (ja, konnte ich auch schon feststellen... :mad: :buh: )
Quelle: Heise (Neustarts) und Heise (AMD)

Wenns so weiter geht, kann das Jahr nur lustig werden :coffee:
 

Abul

(Threadleser)

Abul
Registriert
20 Sep. 2013
Beiträge
4.087
Hab "zum Glück" noch 1511 und dafür wird es kein Update von Microsoft geben (Kann ja nicht Upgraden, vollverschlüsselt und so). Abgesehen davon wird es für den i5-3xxx wahrscheinlich seitens Intel auch nichts geben, geschweige denn für mein ASUS-Board aus 2012. Also werde ich von dem Geschwindigkeitsverlust nichts merken. Ich schalte dann mal JavaScript im Browser aus :T
 

Jan_de_Marten

Aktiver NGBler

J
Registriert
14 Juli 2013
Beiträge
1.106
Ich habe es so verstanden als verhält sich diese Lücke doch nur wie ein Aus-und-Einbruch beim Sandboxing nur eben auf der Ebene des Prozessorcaches und Schuld hat die Warscheinlichkeitsberechung des nächsten Befehls, das dieser Zugriff nicht sofort bemerkt wird ....... oder?
 

Shodan

runs on biochips

Shodan
Registriert
14 Juli 2013
Beiträge
661
Ort
Citadel Station
Trolling Stone schrieb:
Was kann man denn jetzt eigentlich machen, um sich zu schützen?
Zum Vergrößern anklicken....
Immer:
  • Browser updaten (Mitigation für: Spectre in JavaScript)
  • Andere Software updaten (Mitigaton für: Spectre, ongoing! die meisten Binaries wurden noch nicht mit experimentellen Fixes neu kompiliert)
  • Updates vom Hardware Hersteller einspielen (Mitigaton für: Meltdown, Spectre)
  • Keine untrusted Apps installieren (Mitigaton für: Meltdown, Spectre)

Windows:
  1. Virenscanner updaten
  2. Nachschauen ob der Registry Eintrag gesetzt wurde (bei Bedarf selber setzen)
  3. Betriebssystem updaten (2+3 = Mitigaton für: Meltdown)

Linux
  1. Kernel update (Mitigaton für: Meltdown)

Android
  1. Kernel update (Mitigaton für: Meltdown)

Hypervisoren + kernel-sharing sandboxes
  1. Advisories der Distro lesen
  2. Kernel update (Mitigaton für: Meltdown)
  3. Keine untrusted guests laufen lassen (Mitigaton für: Spectre)

Weh tut das ganze vor allen jenen, die das Betreiben von "untrusted Guests" als Service auf dem freien Markt verkaufen ;)
Allein die theoretische Möglichkeit, dass da ein Gast den Speicher andere Gäste auslesen kann, wird bei einigen Leuten Panik verursachen. (Behörden, Konzerne)

Insofern gibt es da noch eine relevante Mitigation für alle:
  1. Geheimnisse nicht in der Cloud lagern

Also im Grunde läuft es für die meisten Leute auf das übliche hinaus:
  1. Updates machen
  2. Nicht jeden Dreck installieren
  3. Geheimnisse geheim halten

Sorry an alle, die gehofft haben Heldenruhm zu erlangen, indem sie in den brennenden Reaktor rennen.
Hier nimm eine Retpoline gegen die Geister in der Maschine :D
 

profi200

Neu angemeldet

profi200
Registriert
14 Juli 2013
Beiträge
739
Ort
ngb.to
Das ist natürlich toll. Hab ne Haswell CPU. Das BIOS Update vom Hersteller fasse ich nicht an bis der reboot bug gefix ist. Grub/Linux updatet den microcode sowieso schon (0x23 jetzt nach dem Update laut /proc/cpuinfo).
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Oben